Если Вам надо администрировать рабочие станции пользователей в Вашей сети, к примеру, подключиться к пользователю, посмотреть что у него не, получается, посмотреть последовательность действий приводящих к ошибке да многое чего. Для этих целей существует много разного стороннего софта, номы воспользуемся тем, что предоставляет сама операционная система Windows. Это удалённый помощник. Далее я покажу, как на базе домена polygon.local настроить групповую политику и распространить её на компьютеры в домене.
Ранее в серии заметок на моем блоге www.ekzorchik.ru я описывал, как делегировать добавление в домен polygon.local рабочих станций пользователей. Продолжим серию настройки для этого контейнера (в данном случае IT). В вашем случае контейнер может отличаться.
Итак, у нас есть домен polygon.local на базе операционной системы Windows Server 2008 R2 Standard SP1.
Политика будет применять на компьютеры находящиеся в определённом контейнере.
Создадим групповую политику, на контейнер IT:
Запускаем «Start – Control Panel – Administrative Tools – Group Policy Management и после на контейнер IT создадим групповую политику.
И назовём её: – GPO_RemoteAssistant
Проверяем пока созданный шаблон групповой политики, которую будем настраивать.
На контейнер IT и на кого применять, т.е. в фильтры безопасности лучше добавить все аутентифицированные пользователи (Прошедшие проверку или Authenticated Users).
Теперь перейдем к редактированию созданной политики “GPO_RemoteAssistant”, следует
Отключаем политикой встроенный брандмауэр и включаем в свойствах компьютера подключение с использование удалённого помощника.
Computer Configuration (Конфигурация компьютера) – Policies ( Политики) – Administrative Templates (Административные шаблоны ) – Network (Сеть) – Network Connections (Сетевые подключения ) – Windows Firewall (Брандмауэр Windows ) – Domain Profile (Профили домена) :
Windows Firewall: Protect all network connections – Disabled
Брандмауэр Windows: Защита всех сетевых подключений – ОТКЛЮЧЕНО.
Включаем ведение журналов подключения с использованием удалённого помощника:
Computer Configuration (Конфигурация компьютера) – Policies (Политики) – Administrative Templates (Административные шаблоны) – System(Система) – Remote Assistance (Удалённый помощник ) :
Turn on session logging – Enabled
Включить ведение журналов сеансов – ВКЛЮЧЕНО.
Удалённый помощник можно настроить в двух вариантах (разрешить взаимодействие с удалённой рабочей станцией и разрешить только просмотр выполняемых действий), но я покажу на примере первого варианта:
Computer Configuration (Конфигурация компьютера) – Policies (Политики) – Administrative Templates (Административные шаблоны) – System(Система) – Remote Assistance (Удалённый помощник )
Solicited Remote Assistance (Allow helpers to remotely control the computer, 6 Hours, Simple MAPI)
Запрос удалённой помощи – ВКЛЮЧЕНО. (Помощники могут управлять компьютером, 6 часов, Simple MAPI)
А теперь делегируем определённым сотрудникам использование функции удалённого помощника.
Создадим пользователя и группу которая будет заниматься обслуживание рабочих станций и добавим туда этого пользователя.
Создание пользователя через командную строку, но можно и через GUI интерфейс оснастки Active Directory Users and Computers.
Создаём учётную запись test в контейнере IT:
C:\Windows\system32>dsadd user "cn=test,ou=it,dc=polygon,dc=local"
dsadd succeeded:cn=test,ou=it,dc=polygon,dc=local
Назначаем пароль для созданной учётной записи:
C:\Windows\system32>dsmod user "cn=test,ou=it,dc=polygon,dc=local" -pwd Aa1234567
dsmod succeeded:cn=test,ou=it,dc=polygon,dc=local
По умолчанию, создаваемые через командную строку пользователи помечаются, как блокируемые, разблокируем:
C:\Windows\system32>dsmod user "cn=test,ou=it,dc=polygon,dc=local" -disabled no
dsmod succeeded:cn=test,ou=it,dc=polygon,dc=local
Создаём группу:
C:\Windows\system32>dsadd group "CN=Remote_Assistance,ou=it,dc=polygon,dc=local"
dsadd succeeded:CN=Remote_Assistance,ou=it,dc=polygon,dc=local
Добавляем в созданную группу, созданную учётную запись:
C:\Windows\system32>dsmod group "CN=Remote_Assisntant,ou=it,dc=polygon,dc=local" -addmbr "CN=test,ou=it,dc=polygon,dc=local"
dsmod succeeded:CN= Remote_Assistance,ou=it,dc=polygon,dc=local
Предоставим созданной группе Remote_Assistance право на подключение к рабочим станциям пользователям:
Действия ниже включают политику для рабочих станций под управлением Windows 7:
Computer Configuration (Конфигурация компьютера) – Policies (Политики) – Administrative Templates (Административные шаблоны) – System(Система) – Remote Assistance (Удалённый помощник )
Offer Remote Assistance – Enable
Предлагать удалённую помощь – ВКЛЮЧЕНО (указываем, кому предоставляем доступ на подключение к другим рабочим станциям)
Открываем Show…, где прописываем домен (polygon.local)\Remote_Assistance
Действия ниже включают политику для рабочих станций под управлением Windows XP, нужно в эту же политику добавить внесение изменений в реестр, что я имею ввиду:
Создаём reg-файл следующего содержания и называем, его, к примеру, AllowToGetHelp.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"fAllowToGetHelp"=dword:00000001
Данный файл следует поместить по адресу –
Computer Configuration – Policies – Windows Settings – Scripts (Startup / Shutdown) – Startup
Вы должны привести вот к такому виду –
Regedit
/s AllowToGetHelp.reg
На окне, свойств загрузки у Вас должно получиться вот так:
Нажимаем Apply, закрываем созданную политику. Политика настроена. Следует перезагрузить рабочие станции и удостовериться, что на рабочие станции применилась политика. В итоге должна быть установлена галочка, которая разрешает подключение к рабочей станции посредством функционала Windows, т.е. удалённого помощника. :::::Результат::::
На Windows 7:
Компьютер – Свойства – Дополнительные параметры системы – Удалённый доступ
На Windows XP:
Мой Компьютер – Свойства – Удалённые сеансы
Вот собственно и всё, в следующей заметке я рассмотрю, как пользоваться удалённым помощником. Следите за обновлениями на моём блоге.
Зачет, спасибо!
Автору спасибо за статью. Помогло.
Спасибо всё четко, внятно и по делу, разве что можно было просто сказать что добавить разрешения нужной группе или пользователю, не расписывая процедуру создания группы, пользователя и так далее.